femto
-
Gesamte Inhalte
10 -
Benutzer seit
-
Letzter Besuch
Beiträge erstellt von femto
-
-
Anderes Problem:
- Issuer leer, Label 'Amazon:Jane Doe' => 'Amazon' => ok, erstes Amazon-Konto
- Issuer leer, Label 'Amazon:John Doe' => 'Amazon:John%' => nicht ok, das '%' ist wohl der Anfang von '%20', also einem URL-encodiertem Leerzeichen.
-
Wenn ich als Account z.B. meinen Namen verwende, dann nimmt der Authenticator auch brav die ersten x Buchstaben dafür.
-
vor 2 Minuten schrieb René:
Dann macht er es ja richtig?!
Jein!
Was mir fehlt ist, wie oben bereits angemerkt, die Beschreibung nach welchen Regeln er die Accounts abkürzt.
-
vor 1 Minute schrieb René:
In solchen Fällen habe ich mir angewöhnt, den QR-Code anzupassen, dann kann ich das Konto so benennen wie ich es haben will.
Sorry, aber das ist dann trotzdem nur ein Workaround. Im Prinzip kann der Authenticator ja darstellen, dass es für einen Issuer mehrere Accounts gibt ('Issuer:Account'), nur ist nicht klar nach welchen Regeln er den Account abkürzt um ihn noch auf dem Display anzeigen zu können.
-
vor 3 Stunden schrieb René:
Mit "dev" hat das nichs zu tun, der Fehler kommt sobald mehrere Codes ohne Konto-Angabe und dem selben Issuer eingelesen werden, die TLDs sind dabei egal.
Ein weiterer Punkt dem ich, zumindestens teilsweise, widersprechen muss:
- Issuer 'Google', Label 'foobar@example.com' => 'Google:com'
- Issuer 'Google', Label 'foobar@example.dev' => 'Google:dev'
- Issuer 'Google', Label 'foobar@example.email' => 'Google:com'
Laut Spezifikation kann der Label alles Mögliche sein z.B. auch nur ein Accountname. Wird in obigem Testfall aber als Label eine E-Mail-Adresse verwendet, so scheint der Authenticator dies durchaus zu erkennen und verwendet dann die TLD zur Unterscheidung der verschiedenen Accounts des gleichen Issuers ('Google').
-
vor 3 Stunden schrieb René:
So machen es die meisten oder sogar alle Anbieter (Ich kenne das nicht anders, bei all meine 2FA-QR-Codes steht der Kontoname davor, und kein Issuer dabei)
Sorry, aber dem muss ich widersprechen. Alle Anbieter die ich überprüft habe, verwenden ausnahmslos auch den issuer: Amazon, GitHub, Microsoft, um nur ein paar zu nennen. Verständlich, da der issuer eigentlich 'strongly recommended' ist.
Der QR-Code von GitHub selbst ist eigentlich nicht korrekt aufgebaut, da dort der issuer ('authenticator') und der Label Prefix ('Github') nicht übereinstimmen. In diesem Fall sollte eigentlich dem Label Prefix ('Github') Vorzug gegeben werden, der Authenticator verwendet aber wohl den issuer ('authenticator').
-
Am 6.4.2021 um 21:02 schrieb René:
Ich vermute mal, dass es an "dev' liegt, der Authenticator sich daran verschluckt. Was soll "dev" sein?
Ehrlich jetzt?
'.dev' ist genauso wie '.com' eine ofizielle Top-Level-Domain.
Am 6.4.2021 um 22:35 schrieb René:Ich habe jetzt mal versucht das Problem nachzustellen. Das Anzeigeproblem tritt bei mir nicht auf, es wird bei beiden Varianten "Google:fooba" angezeigt. Egal ob ich den QR-Code offline (über Offline-Bibliotheken) oder online (Google Charts) erstelle. Da muss in Deinem QR-Code mehr drin stehen als drinstehen darf. Welche Firmware-Version hast Du auf Deinem Gerät? Es gibt auf dem Markt Geräte mit unterschiedlichen Firmware-Versionen, die erste FW-Version mit 10 Konten und die zweite FW-Version mit 60 Konten. Bei der aktuellen FW-Version sind ein paar Fehler behoben. Das Gerät mit der alten Firmware kann auf die FW-Version mit 60 Konten aktualisiert werden:
- Die QR-Codes habe ich selbstverständlich ebenfalls überprüft, bei allen Tests wurde exakt nur die eigegebene OTP-URL angezeigt.
- Das Update des Authenticators war eine meiner ersten Tätigkeiten vor dem ersten Einsatz. Da ich inzwischen mehr als 10 Einträge gespeichert habe, dürfte ich also die zweite FW-Version installiert haben. Aber leider gibt der Authenticator zwar alle möglichen Informationen von sich, aber darunter ist leider nicht die installierte FW-Version.
-
Ok, mal zwei Beispiele:
-
Issuer: Google
Account: foobar@example.com
OTP-URL: otpauth://totp/foobar%40example.com?secret=abcdef&issuer=Google
Anzeige des Authenticators: Google:fooba -
Issuer: Google
Account: foobar@example.dev
OTP-URL. otpauth://totp/foobar%40example.dev?secret=abcdef&issuer=Google
Anzeige des Authenticators: Google:dev
Warum bitte bekomme ich beim ersten Beispiel den Anfang des Accounts angezeigt und beim zweiten Beispiel das Ende des Accounts? Falls der Authenticator erkannt hat, dass die beiden Einträge bei der simplen Verwendung der ersten n Zeichen identisch dargestellt werden würde, dann sollte dieses Verhalten wenigstens dokumentiert sein, oder habe ich das vielleicht überlesen?
Die erzeugten QR-Codes bzw. OTP-URLs sind korrekt und wurden von mir in verschiedenen Authenticator-Apps mit identischem Ergebnis verifiziert.
Solange der Authenticator solche nicht nachvollziehbaren Ausgaben erzeugt, bleibe ich bei meinem zugegebenerweise harschen Urteil das der Authenticator im Moment nicht brauchbar ist.
-
Issuer: Google
-
Der Authenticator implementiert die Google-Spezifikation (https://github.com/google/google-authenticator/wiki/Key-Uri-Format) nur teilweise, auch werden URL-encodierte Zeichen nicht dekodiert dargestellt, z. B. das @ im Account (falls dieser eine E-Mail-Adresse ist). Die überaus wichtige Information über den Account (Teil des Label-Feldes in der Spezifikation) wird scheinbar nur dann dargestellt, falls der Issuer nur wenige Zeichen hat. Bei mehreren Accounts beim gleichen Issuer, z. B. Github, kann dann nicht zwischen den Accounts unterschieden werden. Die gesamte Darstellung ist, diplomatisch ausgedrückt, noch schwer verbesserungswürdig.
Fehlerhafte Implementierung der Spezifikation
in REINER SCT Authenticator
Geschrieben
Sorry, aber in dem RFC 6238 ist schlicht und einfach nur der TOTP-Algorithmus beschrieben, vom Format der otpauth-URL steht da kein Wort drin. Dieses wurde nämlich von Google erstmals 2010 definiert, wie hier nachzulesen.
Der ständige Verweis auf den RFC 6238 ist IMHO nur eine Art Nebelkerze um von dem Fakt abzulenken, dass die "breite" Endkundenmasse nicht allzu breit sein darf. Ehrlich, wer kauft sich den so ein Teil wie den Authenticator? Die "breite" Masse der Normalbürger sicherlich nicht, das Teil ist eher was für IT-Profis & DevOps mit Zugriff auf eine ganze Menge Accounts mit 2FA.